Demo

Le migliori pratiche per la creazione di campagne di simulazione di phishing

Foto de un ave pescando
Nicolás Bruna Blog Nessun commento

Le migliori pratiche per la creazione di campagne di simulazione di phishing

In questo post raccolgo alcune delle raccomandazioni che, secondo la mia opinione personale, ritengo più importanti quando si tratta di simulare attacchi di Phishing.

Parto dal presupposto che i dirigenti dell’organizzazione abbiano già compreso l’importanza di questa pratica e abbiano dimostrato il loro impegno nella gestione dei rischi legati all’ingegneria sociale.

Senza ulteriori considerazioni, passiamo alle buone pratiche nella creazione di campagne di simulazione di Phishing.

Fai i compiti preliminari

Consiglio rapido

  • Assicurati di avere ben chiaro il motivo per cui stai simulando.
  • Avvia un processo ordinato di Whitelist.
  • Lancia campagne di prova.

Consiglio dettagliato

L’obiettivo fondamentale di una simulazione di Phishing è misurare il comportamento degli utenti per comprendere il livello di rischio della tua organizzazione. Questo è uno degli obiettivi principali delle simulazioni. Da qui, si possono sviluppare molti altri, in genere rivolti alla gestione del rischio di ingegneria sociale e alla creazione di abitudini sicure.

Se vogliamo sapere come si comporterebbero i nostri utenti di fronte a un vero attacco, dobbiamo assicurarci che il gruppo di utenti che vogliamo valutare riceva effettivamente l’email di Phishing. Per questo è necessario un processo di Whitelist, configurando gli strumenti di sicurezza in modo che i messaggi di simulazione passino senza essere bloccati.

Una volta configurato tutto, è importante lanciare campagne di prova. Queste ci aiuteranno a verificare che il processo di Whitelist funzioni correttamente e che siano stati considerati tutti gli strumenti di sicurezza utilizzati in azienda. Molte organizzazioni si sorprendono in questa fase, scoprendo che ci sono più strumenti di sicurezza attivi di quanto documentato.

Lettura consigliata: Smettila di fare simulazioni di Phishing! Sul serio?

Non cercare di far cadere tutti gli utenti

Consiglio rapido

Crea simulazioni che somiglino a casi reali senza forzare gli scenari per ottenere il massimo numero di utenti che cadano nella trappola, altrimenti otterrai metriche non realistiche.

Consiglio dettagliato

Simulare significa rappresentare qualcosa facendolo sembrare reale, quindi le nostre simulazioni di Phishing dovrebbero replicare un Phishing reale nei seguenti aspetti:

  • Durata della campagna, solitamente poche ore.
  • Mezzo utilizzato, generalmente email.
  • Tecniche di ingegneria sociale nelle intestazioni e nel corpo del messaggio.
  • Utilizzo di link o allegati.
  • Siti web falsi, repliche di siti reali.
  • Misurazione delle azioni dell’utente (apertura email, clic su link, ecc.).

Ma esiste una differenza importante: una simulazione non cattura informazioni sensibili ed è innocua per l’utente o l’organizzazione. Gli attacchi reali si fermano una volta ottenute, per esempio, le credenziali. In una simulazione, un messaggio educativo può essere mostrato all’utente dopo un’azione rischiosa, come l’invio di informazioni private in un modulo.

Tuttavia, molti responsabili della sicurezza si aspettano qualcosa di diverso:

  • Che le campagne di simulazione durino settimane
  • Che vengano correttamente ricevute nella casella di posta di tutti gli utenti
  • Che lo scenario selezionato susciti l’interesse di tutti
  • Che cadano il maggior numero possibile di utenti

Per ottenere ciò, impiegano settimane a preparare lo scenario di Phishing perfetto, sfruttando le informazioni interne di cui dispongono sull’organizzazione e sugli utenti. Questa pratica in SMARTFENSE viene chiamata la “simulazione di Phishing utopica”.

Ovviamente, non è affatto consigliabile, poiché si rischia di distorcere i risultati delle campagne, ottenendo dati che non riflettono la realtà.

Lettura consigliata: Simulazione di Phishing utopica o come interpretiamo erroneamente i risultati dei nostri test

Invia molte simulazioni

Consiglio rapido

Invia un insieme di simulazioni al mese e poi raggruppa i risultati per ottenere una valutazione complessiva.

Ogni campagna mensile deve variare per tema, giorno, orario, gruppo di destinatari, tipo di inganno, livello di personalizzazione, ecc.

Consiglio dettagliato

La verità è che inviare poche simulazioni all’anno non sarà di grande utilità.

Questo perché ogni simulazione che inviamo è influenzata da numerosi fattori, tra cui:

  • Il livello di interesse che l’utente ha per l’oggetto dell’email, il mittente e il contenuto del messaggio ricevuto.
  • Le tecniche di persuasione usate nell’esca (che sono molto varie). Non tutte possono essere presenti in una singola email e hanno impatti diversi su ciascun utente. Ogni persona è più o meno suscettibile alla tecnica utilizzata, il che influisce sul fatto che cada o meno nella simulazione.
  • La quantità di email in sospeso che ha l’utente, oltre al messaggio legato alla simulazione.
  • Il carico di lavoro dell’utente, ad esempio se sta affrontando una giornata piena di attività o più tranquilla, oppure se è in vacanza o in viaggio di lavoro, solo per citare alcuni esempi.
  • Il dispositivo che l’utente utilizza per controllare la posta elettronica, che sia un computer o un dispositivo mobile.
  • La situazione personale di ciascun utente, che può includere la situazione economica, sentimentale, lo stato emotivo, e altri fattori.
  • La conformità e la soddisfazione dell’utente rispetto all’organizzazione in cui lavora.
  • Il livello di attenzione e consapevolezza dell’utente.
  • Il grado di interazione che l’utente ha con i propri colleghi.
  • La possibilità che la campagna venga individuata da qualche strumento tecnologico e, a un certo punto del suo ciclo di vita, inizi a mostrare qualche tipo di avviso agli utenti.
  • E altri fattori aggiuntivi.

Per tutti questi motivi (e altri ancora) è meglio considerare le simulazioni per periodo piuttosto che per singola campagna. La cosa migliore che possiamo fare è lanciare più simulazioni in un mese e poi raggrupparle per visualizzare i risultati come una singola valutazione.

Ogni campagna del periodo può (e dovrebbe) variare per tematica, giorno, orario, gruppo di destinatari, tipo di inganno, grado di personalizzazione, ecc.

Cosa otteniamo in questo modo? Tutte le simulazioni avranno qualche distorsione dovuta ai fattori sopra menzionati, ma ciascuna sarà influenzata da diversi fattori. Complessivamente, ci forniranno un risultato molto più rappresentativo della realtà.

Questo metodo di lavoro ci permetterà inoltre di ottenere metriche preziose sui nostri utenti, come gli scenari a cui sono più sensibili o gli orari in cui sono più propensi a cadere in un inganno, solo per fare alcuni esempi.

Come vantaggio aggiuntivo, i nostri utenti saranno più vigili, poiché invieremo loro simulazioni con una frequenza sufficiente a sviluppare l’abitudine di riflettere due volte prima di compiere un’azione nella propria casella di posta elettronica.

Lettura consigliata: Quanto durano le campagne di Phishing?

 

Non sforzarti troppo

Consiglio rapido

Il tuo tempo è prezioso, quindi usa contenuti predefiniti ogni volta che puoi e, se li modifichi, mantieni le modifiche minime.

Dedica tempo solo ai casi speciali, come clonare un Phishing famoso o uno reale ricevuto in azienda, se hai le risorse per farlo.

Consiglio dettagliato

Potresti pensare che lanciare un insieme di simulazioni al mese rappresenti un carico di lavoro troppo grande.

Ma aspetta… non pensare alla simulazione perfetta, o a preparare scenari di phishing con una cura estrema per i dettagli… Se hai a disposizione uno strumento che ti offre contenuti predefiniti di qualità, devi solo sfruttarli. In 15 minuti puoi pianificare un set di campagne mensili senza doverci pensare troppo.

Questo sarà molto più utile e rappresentativo rispetto al trascorrere giorni preparando nel dettaglio un singolo scenario e inviare quel solo scenario a tutti gli utenti lo stesso giorno.

Inoltre, immagina di aver passato due settimane a creare il phishing perfetto, e, al momento di lanciarlo, un utente lo segnala, e la URL della simulazione finisce nella lista nera di Google. Questa situazione l’ho vista molte volte, e le persone si arrabbiano parecchio a riguardo.

Si arrabbiano con lo strumento di simulazione, ovviamente, mentre ciò che è accaduto è indipendente dalla piattaforma che utilizzano e potrebbe succedere con qualsiasi altra.

Ecco perché, di nuovo, dimenticati delle simulazioni di phishing utopica.

E se non sei ancora del tutto convinto, pensa che inviare un gran numero di simulazioni aiuta a sviluppare abitudini sicure negli utenti. Perché? Perché gli utenti si abitueranno a ricevere email di phishing. Non importa come sono queste email, fintanto che sono phishing, funzionano. Gli utenti diventeranno molto più attenti alla propria casella di posta e segnaleranno sempre più casi di phishing, sia simulati che reali.

Non è mai giustificato dedicare tempo alla creazione di uno scenario di phishing? Solo se hai le risorse disponibili, a volte può essere interessante:

  • Prendere un caso reale, mediatico, e clonarlo per vedere come sarebbe stata la situazione se quell’inganno fosse arrivato nella tua organizzazione.
  • Prendere un caso reale ricevuto nella tua organizzazione e che sia stato bloccato (magari fermato da uno strumento o segnalato da un utente consapevole), per analizzare quale sarebbe stato l’impatto se fosse rimasto attivo più a lungo.

Lettura consigliata: Smettila di fare simulazioni di Phishing! Sul serio?

Sfrutta il miglior momento per sensibilizzare

Consiglio rapido

Quando un utente compie un’azione rischiosa, mostragli immediatamente cosa sarebbe successo in una situazione reale con un Momento Educativo.

Consiglio dettagliato

Se, oltre a simulare, stai cercando di generare una cultura della sicurezza nella tua organizzazione, devi pensare allo sviluppo di abitudini sicure negli utenti. Per ottenere questo risultato, puoi utilizzare diversi strumenti di sensibilizzazione, come Video, Videogiochi, Moduli Interattivi, ecc.

Ciascuno di questi strumenti offre vantaggi specifici per l’utente. Ad esempio, un Modulo Interattivo può fornire spiegazioni dettagliate su un determinato argomento, mentre un Videogioco permette all’utente di esercitarsi nel prendere decisioni in un ambiente divertente e sicuro.

Ma, poiché stai già utilizzando le simulazioni, puoi trarre un grande vantaggio dai Momenti Educativi. Con questo tipo di strumento, il contenuto di sensibilizzazione viene mostrato proprio quando l’utente compie un’azione a rischio all’interno di una simulazione.

Questo aumenta notevolmente l’impatto del contenuto offerto e lo rende più memorabile.

Lettura consigliata: Il momento ideale per i nostri utenti di imparare

Ritorna alle basi e migliora continuamente

Consiglio rapido

Rivedi i tuoi obiettivi e fai gli aggiustamenti necessari.

Continua a lanciare campagne di prova e, se giustificato, rivedi la configurazione di Whitelist.

Consiglio dettagliato

Torna al primo consiglio, ma con un’attenzione particolare al miglioramento continuo.

Obiettivi

Ogni tanto, rivedi gli obiettivi che ti sei prefissato per le tue simulazioni. Sono ancora validi? Le tue azioni sono allineate agli obiettivi? Ne hai raggiunto qualcuno? Hai bisogno di stabilirne di nuovi o di provare strategie diverse?

Tieni presente che, a questo punto, confrontarti con altri non ti sarà di grande utilità. L’unico benchmarking che conta è quello che fai confrontandoti con te stesso, anno dopo anno.

Whitelist e campagne di prova

Gli strumenti di protezione aziendale sono in costante aggiornamento. Inoltre, possono essere aggiunti nuovi strumenti o rimossi quelli non più necessari.

Per questo motivo, è consigliabile rilanciare campagne di prova prima di iniziare un nuovo periodo di simulazione.

In base a queste prove, se necessario, rivedi le configurazioni della Whitelist.

Lettura consigliata: Prendi la pillola rossa? Simulare Phishing fuori dalla Matrix


Condividi:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Tag Articolo :
Prev Post

Next Post

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento

Ricerca

Articoli recenti

Nuvola di tag

bec cambiamento comportamentale ciso consapevolezza consigli cybersicurezza formazione e sensibilizzazione hardening di utenti phishing piano di awareness ransomware responsabile sicurezza informatica sicurezza delle informazioni smartfense whitelist

Blog in Spagnolo

Nel blog in spagnolo abbiamo centinaia di articoli da leggere

Vai al Blog in Spagnolo